14. 클라우드컴퓨팅서비스관리지침

inswave-wiki
Wikiadmin (토론 | 기여)님의 2025년 10월 16일 (목) 10:22 판
둘러보기로 이동 검색으로 이동

클라우드컴퓨팅 서비스관리지침

문서 버전: 1.0 시행일: 2025.04.30 담당: 정보보호 최고책임자 / 정보보호 관리자

※ 본 지침은 클라우드컴퓨팅 서비스를 제공하기 위한 운영문서로서 검토되고 승인됨.


제1장 총칙

제1조 (목적)

이 지침은 ㈜인스웨이브(이하 “회사”라 한다)의 「정보보호정책서」에 의거하여 클라우드컴퓨팅 환경에서의 시스템 개발, 도입 및 운영과 관련된 보안 사항을 규정함을 목적으로 한다.

제2조 (적용범위)

이 지침은 회사의 클라우드컴퓨팅 서비스 업무에 종사하는 임직원 및 회사와 계약을 맺어 클라우드컴퓨팅 서비스 업무를 수행하는 외부업체 직원 모두에게 적용된다.

제3조 (용어 정의)

  1. “외부인”이라 함은 「직제규정」에서 정한 “직원“이 아닌 자로서 특정한 업무 수행을 위한 계약에 의해 업무를 수행하는 자를 말한다.
  2. “외부위탁”이라 함은 특정 업무를 외부업체에 위탁하여 처리하는 방식을 말한다.

제2장 클라우드컴퓨팅 서비스

제4조 (보안서비스 수준 협약)

  1. 국가기관 등에 클라우드 서비스를 제공하기 위한 계약 시, 보안 요구사항을 정의하고 계약서(보안서비스 수준 협약 등)에 반영하여야 한다.
  2. 계약 또는 협약 시 다음 사항을 반드시 고려한다.
    1. 클라우드컴퓨팅 서비스 제공 범위
    2. 국가기관 등과 SaaS 사업자의 책임 명시
    3. 이용자 데이터 소유권, 저장 위치(국내 한정), 이관 및 보호 방법
    4. 계약 만료 또는 종료 시 데이터 처리 방법
    5. 제3자·하도급 관계에 대한 정보
    6. 서비스 수준 미달 시 대응 절차 및 보상 방법
    7. 사고·장애 발생 시 기관 및 전문가 협조체계 구축
    8. CC인증 및 보안기능확인서 획득 제품 사용
  3. 회사는 국가기관 등의 보안요구사항 반영 여부를 지속적으로 모니터링하고, 주기적으로 그 결과를 보고하여야 한다.

제5조 (도입 장비 안전성)

클라우드 서비스를 제공하기 위해 도입되는 보안시스템 및 네트워크 장비 중 CC 인증 또는 보안기능 확인서 등 사전 인증이 필수인 제품은 국가정보원장이 안정성을 확인한 제품을 도입하여야 한다.

제6조 (보안관리 수준)

  1. 회사는 국가기관 등에서 요구되는 시설 및 물리적 통제 수준을 만족하는 보안을 제공하여야 한다.
  2. 행정기관 및 공공기관의 관련 지침과 「소프트웨어 개발보안 가이드」에 따라 보안 취약점을 배제하여 개발한다.
  3. 주요 보안성 강화 방안은 다음과 같다.
    1. 데이터 송·수신, 저장 과정에서 보호 방안 마련
    2. 중요 데이터 입출력 및 교환 시 무결성 검증 절차
    3. 백업 포함 물리적 위치 추적 방안
    4. 불필요한 IP 및 포트 제거 조치

제7조 (사고 및 장애 대응)

  1. 국가기관 등 클라우드 서비스의 사고 및 장애 대응 절차는 국가기관의 대응 절차를 반영하여야 한다.
  2. 사고 보고서에는 다음 항목을 포함한다.
    1. 사고 발생일시, 보고자, 보고일시
    2. 사고 내용(원인, 피해, 발견사항 등)
    3. 대응 경과, 소요시간, 관련자 정보, 조치 내용
  3. 침해사고, 정보유출, 장시간 서비스 중단(10분 이상 또는 24시간 내 2회 이상) 시 즉시 이용자에게 통보한다.
  4. 대규모 사이버공격, 확산 우려, 피해 예상 등 긴급 상황 시 국가기관에 즉시 통보하고 조사에 협조한다.

제8조 (물리적 위치 및 분리)

  1. 국가기관용 클라우드 시스템, 데이터, 인력은 반드시 국내에 위치하여야 한다.
  2. 국가기관용 시스템과 민간용 시스템은 물리적/논리적으로 분리되어야 한다.
  3. 시설에는 출입통제를 실시하고 출입기록을 유지한다.
  4. 클라우드 보안인증 인프라를 활용하는 경우 운영 측면만 확인한다.

제9조 (중요장비 이중화 및 백업체계 구축)

  1. SaaS 장애 및 사고 발생에 대비하여 백업 및 복구 체계를 구축·운영한다.
  2. IaaS 사업자와 DR(Disaster Recovery) 서비스 계약을 체결한 경우 해당 요건을 충족한 것으로 본다.

제10조 (검증필 암호화 기술 제공)

  1. 클라우드 서비스 운영 시 사용하는 VPN, 보안USB 등은 검증필 암호모듈을 적용한 제품을 사용해야 한다.
  2. CC 인증 또는 보안기능확인서를 획득한 제품만 사용 가능하며, 인증 유효기간이 만료된 제품은 사용 불가하다.

제11조 (시스템 격리)

  1. 서비스 네트워크 외 비정상 통신 경로가 발생하지 않도록 정기 검토한다.
  2. 이용기관 자원 접근을 제한하는 기술적 통제 방안을 마련한다.
  3. 무선망은 분리하고 무선접속은 통제한다.
  4. 최신 보안취약점 점검 및 패치 적용을 정기적으로 수행한다.
  5. 비정상 통신경로 감지를 위한 모니터링 및 스캔 절차를 수립한다.

제12조 (영역분리)

  1. 국가·공공기관용 클라우드와 일반 이용자용 클라우드는 물리적 또는 논리적으로 분리해야 한다.
  2. 논리적 분리 시 취약점 방지 및 접근 모니터링 체계를 마련해야 한다.
  3. 이용기관 요청 시 영역분리 증적자료를 제공할 수 있어야 한다.
  4. 국가정보원 및 국가기관의 조사·예방 활동에 협조하고,
 각 영역별로 사이버위협 대응 활동을 위한 제반 환경을 제공해야 한다.

(끝)

원본 주소 "https://wiki.inswave.kr/index.php?title=14._클라우드컴퓨팅서비스관리지침&oldid=547"